Archivos de etiquetas: Emotet

El ransomware “MegaCortex” quiere ser El Único

La súbita aparición de este nuevo ransomware en un gran número de redes empresariales no era el regalo del Día del Trabajo que todos esperaban.
Un nuevo ransomware que se hace llamar MegaCortex tuvo una explosión de vida el miércoles pasado, cuando fueron detectados un gran número de ataques en contra de clientes Sophos al rededor del mundo. Los atacantes que entregaban este nuevo malware emplearon sofisticadas técnicas en sus intentos de infectar a las víctimas.
El intrincado método de infección que MegaCortex emplea, apalanca componentes automáticos y manuales, pareciera que incluye una gran cantidad de automatización para infectar un gran numero de víctimas. En los ataques investigados, los atacantes utilizaron un script de ataque bien común en los red-team para invocar en el ambiente de la víctima un reverse shell de meterpeter. Desde el shell inverso, la cadena de infección utiliza scripts de PowerShell, archivos por lotes desde servidores remotos, y comandos que solamente se ejecutan en algunas máquinas específicas para que el malware descargue ejecutables encriptados, que inicialmente han sido empotrados en el malware primario.
El ataque es iniciado desde un controlador de dominio interno en la red corporativa, cuyas credenciales parecieran estar comprometidas, en lo que sugiere una intrusión e infección manual.
El nombre del malware es un homenaje mal escrito a la corporación burocrática en la cual trabaja el personaje “Thomas A. Anderson” (Neo) en la primera película de The Matrix. La nota de rescate pareciera ser uno de los diálogos del personaje de Lawrence Fishbourne en esta película, Morpheus.

La referencia cinematográfica de la nota de rescate no es sólo eso. La carga ejecutable firmada digitalmente que utiliza para realizar la encriptación tiene un certificado con un CN idéntico al encontrado en ejecutables de noviembre de 2018 mientras aún se buscan las similitudes con muestras más recientes. Al buscar en este CN, los investigadores de Sophos hallaron aún más muestras en su repositorio, las cuales parecieran estar relacionadas con el mismo atacante.
La muestra más antigua hallada de este malware corresponde a una subida a VirusTotal desde República Checa el 22 de enero de este año. Los primeros reportes de usuarios afectados se remontan a febrero, aunque sin infecciones muy extensas, sólo desde el peak del 1 de mayo es cuando se han presentado la mayor cantidad de alertas.

Mientras que la nota de rescate no menciona un precio que estos criminales demanden, ellos sí ofrecen a sus víctimas “una consultoría acerca de cómo mejorar la ciberseguridad de su compañía” y además “garantizan que su compañía jamas será nuevamente incomodada por ellos”.
Mientras que los números de infecciones van al alza, Sophos reunió un equipo de analistas de malware y staff de soporte para apoyar el análisis inicial del ataque y sus repercusiones.
Como funciona MegaCortex
Ahora mismo, no podemos indicar certeramente si los ataques de MegaCortex son apoyados u orquestados por el malware Emotet, pero hasta ahora en la investigación (aún en curso) pareciera existir una correlación entre los ataques con MegaCortex y la presencia de Emotet en la misma red, además del malware Qbot.
En ambas familias de malware existe la habilidad de servir como punto de entrada para otras cargas útiles de malware, con Emotet asociado con el malware de robo de credenciales Trickbot, el cual puede descargar e instalar malware adicional en los equipos infectados, auqnue aún no se encuentra evidencia directa de que estos otros malware sean la fuente de la infección.
En vez de esto, las víctimas reportan que el ataque fue iniciado desde algún controlador de dominio comprometido.
El atacante, utilizando credenciales robadas, ejecutó un script de PowerShell el cual estaba fuertemente ofuscado:

Retirando tres capas de ofuscamiento se revela una serie de comandos que descodifica un bloque codificado en base64. Este bloque pareciera ser un script de Cobalt Strike, el cual abre un shell reverso de Meterpreter en la red de la víctima.

El atacante entonces envía comandos mediante el controlador de dominio en el cual tiene acceso remoto.
Este DC utiliza WMI para enviar el malware en forma de una copia de PsExec renombrada como rstwg.exe, el malware principal ejecutable y archivo por lotes, al resto de los computadores en la red que estén a su alcance, posteriormente ejecutará el batch remotamente mediante PsExec.
El batch pareciera ser sólo una larga lista de comandos para matar 44 procesos, detener 189 servicios distintos, y modificar el Startup Type hacia Disabled en 194 servicios distintos, lo que previene que se vuelvan a ejecutar.

Los atacantes apuntan a una gran cantidad de software de seguridad, incluyendo algunos servicios de Sophos, para de esta forma detenerlos y modificar su estado a deshabilitado, de todas maneras una instalación configurada apropiadamente no permite que se realicen estas acciones.

Finalmente este batch llama al ejecutable descargado previamente winnit.exe, el cual es ejecutado con flags de ejecución que son un trozo de datos codificados en base64.

Este comando llama a winnit.exe para descargar y ejecutar una carga DLL que tiene 8 caracteres alfanuméricos aleatorios como nombre, el cual realiza la encriptación hostil. Esto indica que los atacantes utilizan otros archivos por lotes, llamados 1.bat hasta 6.bat, los cuales contienen los comandos para distribuir el winnit.exe y ejecutar el batch por la red de la víctima.

La demanda de rescate
Típicamente la nota de rescate aparece en la raíz del disco duro de la víctima, en forma de un archivo de texto. En este caso aparece con colores invertidos en una tónica alusiva a las referencias con la película The Matrix, incluyendo una cita textual de un diálogo:

Este ransomware genera un archivo con la extensión .tsv y con el mismo nombre de los 8 caracteres alfanuméricos aleatorios que el DLL malicioso. La nota de rescate solicita que la víctima envíe este archivo con su requerimiento para pagar el rescate, a cualquiera de los 2 emails gratuitos que indica cómo contacto.
Protección recomendada para MegaCortex
Aún se encuentra en desarrollo una perspectiva mas clara del proceso de infección, pero de momento, parece ser que existe una fuerte correlación entre la presencia de MegaCortex, y la preexistencia de Emotet y Qbot en las redes infectadas. Si recibe alertas de Emotet o Qbot, podrían ser prioritarias. Ambos malware pueden ser utilizados para distribuir otro malware, y es posible de que así sea el proceso de inicio de infección con MegaCortex.
No se han observado indicios de que exista abuso o explotación de RDP para ingresar a las redes de las víctimas, pero sí es sabido de agujeros en los firewalls corporativos que permitirían que personas se conecten mediante RDP frecuentemente. Se recomienda fuertemente la no utilización de esta práctica y en caso de ser necesario el acceso por RDP utilizar VPN.
Como este ataque pareciera indicar de que existe abuso de contraseñas administrativas, también se recomienda la adopción de un segundo factor de autenticación para todo lo que actualmente requiere sólo una contraseña y tiene la capacidad de utilizar 2FA.
Mantener respaldos de la data más importante y actualizada en un servicio de almacenamiento offline es la mejor forma de evitar el tener que pagar un rescate por ransomware.
Recuerde que los criminales que ya han entrado a una red y encriptan cientos de endpoints, prometen que al pagarles el rescate ellos no lo harán nuevamente, algo de lo que no es posible estar muy seguros.
Sophos Antivirus detecta estas muestras como Bat/Agent-BBIY, Troj/Agent-BBIZ, Troj/Agent.BAWS, y Troj/Ransom-FJQ. Sophos InterceptX además protege a los usuarios del ataque.
IOC
IP del C2 shell reverso de Meterpreter:
89.105.198.28
Hashes:
Batch: 37b4496e650b3994312c838435013560b3ca8571
PE EXE: 478dc5a5f934c62a9246f7d1fc275868f568bc07
Inyector de DLL secundario: 2f40abbb4f78e77745f0e657a19903fc953cc664
Fuente:
https://news.sophos.com/en-us/2019/05/03/megacortex-ransomware-wants-to-be-the-one/

[Actualizado 08/04/19]Aumento de SPAM relacionado al malware EMOTET

Actualización: 8 de abril de 2019:
Nuevamente nos encontramos frente a otra campaña basada en Emotet, ésta utiliza el correo electrónico para enviar archivos .ZIP con contraseña, la cual es posible encontrar en el mismo correo. Con esta técnica se evitan filtros de antimalware en gateways de correo hasta llegar al endpoint.
Una vez descomprimido, aparece un archivo de JavaScript, el cual al intentar ser ejecutado directamente libera el malware escondido. En esta oportunidad además se trata de un malware que roba credenciales del usuario, las cuales pueden ser de cualquier tipo de servicio (correo, banca, rrss, etc).
Como señuelo, esta variante arroja un mensaje de error (falso) al ejecutarse, éste indica “Formato de archivo no compatible. Hubo un error al abrir este documento. El archivo está dañado y no se pudo reparar…”. De cualquier forma el malware ya se encuentra instalado y ejecutándose.
Es recomendable alertar a los usuarios de esta amenaza para que estén conscientes de ésta en caso de recibir un correo con adjunto.ZIP y contraseña. Monitorear o bloquear la ejecución/descarga directa de archivos JS en las plataformas firewall, antispam y/o endpoint.
IoC:
Sitios web
http://pontoacessoweb[.]com.br/x6o5aq7/pW_t/
http://192.186.96[.]125/mult/health/nsip/merge/
http://afkar[.]today/cgi-sys/suspendedpage.cgi
http://192.186.96[.]125/iplk/dma/nsip/
http://www.liyuemachinery[.]com/config.replace/W_dK/
http://192.186.96[.]125/xian/merge/nsip/
http://192.186.96[.]125/json/sess/
Dominios
www.liyuemachinery[.]com
pontoacessoweb.com[.]br
entasystem[.]online
afkar[.]today
Hashes
3fef1791f40149036f14b13c38a559c7b9b44571
aa4ae06286b7932529389721446012ec1a68a3ed83c13ebe197d91e60b1a59f4
2c6be4fb920ab3ae5ded5be2936ec767
ffbe73591031973cb52f6950ed61b168a0f0bda69f004db08846dfc1bd1d1920
99d671ee30cb4a19558f5ae273698ec2
f55dc41ab2314e9252673aa5dcbaf6a54f96c2ce
a186a24cdd085c6b4f3bb2136f1c11a3ca7475fa08e91703723797ba8cf7778b
Actualización: 25 de marzo de 2019:
Durante los últimos 3 dias, el aumento de ataques mediante este malware ha incrementado de forma tal que el gobierno de Chile emitió una alerta desde su CSIRT, el cual indica:
“En base a informaciones recibidas de fuentes internas se ha establecido un estado situacional de alerta de ciberseguridad por incidente que se encuentra afectado a sectores relevantes de la economía.
Como producto de la coordinación intersectorial la información preliminar que se ha logrado recabar permite establecer que se debe bloquear, hasta que no se indique lo contrario mediante comunicado de igual o superior naturaleza, el siguiente sitio web y dirección IP:
Sitio web: triosalud[.]cl Dirección IP: 190[.]107[.]177[.]246
El bloqueo debe efectuarse tanto para flujos que provengan desde esos orígenes como flujos cuyo destino sean estos.
A nivel de RCE se están aplicando las protecciones respectivas y se ha elevado el nivel de alerta para estos patrones maliciosos.
Se notificará a los encargados de ciberseguridad en la medida que se detecte algún patrón que los involucre directamente para que se tomen las medidas del caso.
Otro comunicado, de no mediar una variación sustantiva de la situación, se emitirá para el restablecimiento del estado de normalidad en la RCE.”
Posteriormente se emitió un boletín nº2 el cual contiene una actualización de IP a bloquear, éste documento se encuentra en https://www.csirt.gob.cl/media/2019/03/comunicado-ciberseguridad-2.pdf
La vulnerabilidad de WinRAR presente desde hace 19 años.
Hace poco mas de un mes fue publicada una vulnerabilidad en el ampliamente utilizado gestor de archivos comprimidos WinRAR, vulnerabilidad que se indica que existe hace 19 años (!!!). Esta vulnerabilidad consiste en renombrar un archivo .ace (otro formato comprimido) a .rar de forma que al abrirlo con WinRAR éste se instale en el inicio del sistema. La técnica de incrustar malware en archivos .ace no es nueva, y se ha utilizado previamente debido a la rareza de uso de este formato, por lo que muchos sistemas de revisión de malware en correo electrónico no solían analizar este tipo de archivos.
El investigador de seguridad Germán Fernández Bacian, detectó al analizar algunos dominios .cl que tienen la vulnerabilidad Directory Listing, mediante OSINT, que uno de estos alojaba un archivo llamado “denuncias.rar”, el cual había sido subido en el mismo dia del análisis al servidor. Al analizar este archivo mediante Hybrid Analysis indica que explota la vulnerabilidad de WinRAR, instalando un troyano bancario identificado como Integrity.exe. Este troyano se comunica al servidor .cl originalmente indicado para actualizar la tabla de activos infectados.
Otro archivo posteriormente encontrado “__Denuncia_Activa-CL.pdf.bat”, contiene un malware el cual sería el KL-Banker, el cual apunta a bancos chilenos. En su panel de administración se encontraron activos de distintos bancos en Chile.
Esto daría paso al comunicado de ciberseguridad emitido por el CSIRT del gobierno de Chile este viernes 22 de marzo de 2019.
Paralelamente la SBIF emite un comunicado con alerta de seguridad por presencia de malware en sistemas empresariales.
Spear phishing
Hubo una campaña de spear phishing (phishing dirigido a objetivos con un perfil definido previamente), en el cual se apuntaba a robar credenciales utilizando la botnet de Emotet. El objetivo específico son cuentas de empresas proveedoras a empresas más grandes, con el objetivo final de llegar a instituciones financieras, principalmente bancos. Este método se conoce como supply chain attack (ataque a la cadena de suministro).
Para esconder esta operación los atacantes utilizaron los sitios de GoDaddy para evitar ser detectados en dominios potencialmente peligrosos.

Algunos bancos bajaron sus portales de segmento empresas como precaución para evitar transacciones fraudulentas e infecciones.
Una muestra de correo de phishing para esta amenaza:

Más troyanos
Otro troyano detectado en estas campañas es el conocido como Zonidel. El cual tiene funciones de spyware y control remoto, lo que permitiría el robo de credenciales, manipulación de archivos, cargar otros malware en el sistema, participar en DDoS, finalización de procesos, etc.
Un listado de activos infectados se puede hallar en https://pastebin.com/ERs3xkia
Una recomendación de seguridad inmediata es actualizar WinRAR a la ultima versión.
Indicadores de compromiso:
Dominios:
5.39.218.210185.29.8.45190[.]107[.]177[.]246190[.]107[.]177[.]91triosalud[.]cl
URL:
hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://5.39.218[.]210/dns/dns.php?dns=<random>”hxxp://5.39.218[.]210/dns/logs/logpc.phphxxp://185.29.8[.]45/1.exehxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/
Hash:
421448d92a6d871b218673025d4e4e121e263262f0cb5cd51e30853e2f8f04d7
Originalmente publicado el 29 de noviembre de 2018:
Un aumento de correos Spam, Phishing y Spoofing relacionados al malware Emotet, es esperado en los siguientes dias; debido a la naturaleza polimórfica de este virus, la detección es variable para todos los antivirus.
Técnicamente Emotet es un troyano bancario, aunque es mayormente usado como un “descargador” para una variedad de otras amenazas (TrickBot, Zeus Panda Banker, IcedID y otros), utiliza robo de credenciales, propagación por red, recolección de información sensible, redireccionamiento de puertos, entre otras características. Esto lo convierte en una amenaza considerable.
El US-CERT emitió en el mes de julio un aviso de seguridad acerca de Emotet, indicando que “se encuentra entre los malwares más destructivos y costosos”. En casos de infección dentro de Estados Unidos, el costo de remediación asciende hasta USD$1 millón por cada incidente.
Según ESET el modo de infección comienza con un Spam bien diseñado, el cual puede contener hipervínculos maliciosos como adjuntos de Microsoft Word o PDF que aparentan ser facturas, mensajes de seguridad del banco o avisos de “actualización de Word”.
Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF. Paso seguido, el payload de Emotet es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios descargar.
Agregaron que las nuevas variantes de Emotet se generan en promedio cada dos horas, de esta forma las firmas de este malware van cambiando constantemente, dificultando así la protección completa para las posibles víctimas.
“Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia y autopropagación similar a la de los gusanos. Es distribuido a través de campañas de spam utilizando una variedad de disfraces para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos.” indica ESET.
Se estima que esta nueva campaña tiene su auge el 5 de noviembre de 2018, luego de un periodo de baja actividad. Siendo sus principales víctimas entidades bancarias en Norte y Sudamérica.
Descripción de la Amenaza
Técnica:PDF, PowerShell, Office VBA Macro
Malware:Emotet
Actor:TA542
Familia:Downloader, Botnet, Stealer, Spambot
Sophos:CXmail/OleDl-AU,CXmail/OleDl-J,Troj/DocDl-QJO, Troj/DocDl-QLX
Asuntos:
Procedimiento de pago para sus servicios de John Lange – IN TimeCambion de su tarifa de Seguel, RodrigoWells Fargo statementProcedimiento de pago para su trabajo de Ehrlich | KolorprintValuation Invoice from 11/07/18
Adjuntos:
untitled-3st974835.docv1/9-27/4719.doccontrato.docnuevo-contrato.docnuevo-acuerdo.docacuerdo.docfa_num_xnx90393.docInvoice_No_96608.doc
Análisis de la infección
La infección inicial se distribuye a través de correo electrónico no deseado, con la siguiente secuencia de eventos: Un correo electrónico no deseado que contiene un enlace de descarga o un archivo adjunto que llega a la bandeja de entrada de la víctima.
El enlace de descarga apunta a un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica e inicia una secuencia de comandos Powershell. El script de Powershell intenta descargar y ejecutar Emotet desde múltiples fuentes de URL. Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble que incluiye un gran diccionario de contraseñas débiles y de uso común.
El diccionario de contraseñas se utiliza para obtener acceso a los sistemas en red. Una vez que obtiene acceso, se copia a sí mismo en acciones ocultas de C$ o Admin$. La copia recibe a menudo el nombre de archivo my.exe, pero se han usado otros nombres de archivo.
Emotet contiene una lista incrustada de cadenas entre las que elige dos palabras para fusionarlas en el nombre de archivo que utilizará en el momento de la infección inicial. Las cadenas elegidas se agrupan utilizando el ID de volumen del disco duro. Como resultado, el mismo disco duro siempre dará como resultado el mismo nombre de archivo para cada sistema infectado. También descarga un componente de actualización automática capaz de descargar la última copia de sí mismo y de otros módulos. Este componente se guarda como %windows%<filename>.exe, donde el nombre del archivo se compone de 8 dígitos hexadecimales.
Algunos de los otros módulos que este componente descarga se utilizan para recopilar credenciales de otras aplicaciones conocidas o para recopilar direcciones de correo electrónico de los archivos PST de Outlook para su uso con correo no deseado dirigido. Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. Luego instala y ejecuta el .exe actualizado como un servicio de Windows.
Fases de la infección

Ejemplo de SPAM

Análisis de causa raíz por Sophos

Análisis de la muestra
MALICIOSO
Nombre: Contrato.doc
Nombre Amenaza: Troj/DocDl-QKJ
Tamaño: 80KiB
Score Amenaza: 100/100
Tipo: DOC
AV Detección: 55%
Mime: application/msword
Tipo Virus: Troyano
SHA256: 98888c43345a90cfb2336a916e091eccf59d9cab4ff647585c9e170e9e5481df
Fuente:Información extraída de https://www.hybrid-analysis.com
Resultado de Análisis con diferentes antivirus
Se comprobó la amenaza en la página https://www.virustotal.com, dicha página permite el análisis de amenazas por medio de la verificación con 57 marcas diferentes de antivirus, de las cuales 35 marcas detectaron como positivo la detección de malware dando un 61% de coincidencia de peligrosidad y fue catalogado como troyano.

Link del análisis:
Top 10 Antivirus

Banco Consorcio afectado por un evento de ciberseguridad

Fuentes: https://www.biobiochile.cl/noticias/economia/negocios-y-empresas/2018/11/08/banco-consorcio-es-victima-de-hackeo-informatico.shtml
https://nakedsecurity.sophos.com/tag/emotet/
Nuevamente la ciberseguridad bancaria en Chile se ve afectada. En esta oportunidad los ciberdelincuentes pudieron exfiltrar información confidencial y sensible de Banco Consorcio.
Según el mismo Banco, el daño está valorizado en un monto inferior a los US$2 millones y ya está en proceso de ser recuperado, puesto que además existen seguros comprometidos.
El modo de penetración utilizado (según Biobiochile) fue mediante un correo malicioso que incluía el malware Emotet. Este correo simulaba ser un aviso de actualización de Word, por lo que bastaría con que un sólo colaborador cayera en esta estafa para que este malware se distribuyera por la entidad.
El Banco indicó que no habría perjuicio para sus clientes debido a este incidente y se encuentra permanentemente monitoreando la situación con la ayuda de expertos internacionales en el tema.

Si fuera el caso de este malware, la información es que Emotet es un troyano aunque también contiene la funcionalidad necesaria para ser clasificado como un gusano. La principal diferencia es que un troyano requiere cierto grado de ingeniería social para engañar a un ser humano para que permita la propagación de la infección, mientras que un gusano puede extenderse a otros sistemas sin la ayuda de un usuario. Emotet descarga entonces ejecuta otras cargas útiles, así que aunque su componente central no sea directamente un gusano, tiene el potencial de descargar y ejecutar otro componente para extenderse a otros sistemas.
Cómo funciona
La infección inicial se distribuye a través de spam de correo electrónico. Los investigadores de Sophos en Agosto de este año, recopilaron la siguiente secuencia de eventos:
Un correo electrónico no deseado que contiene un enlace de descarga llega a la bandeja de entrada de la víctima. El enlace de descarga señala un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica y inicia un script Powershell. El script Powershell luego intenta descargar y ejecutar Emotet desde múltiples fuentes de URL.
Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble con un gran diccionario de contraseñas débiles y comúnmente usadas.
También descarga un componente de auto-actualización capaz de descargar la última copia de sí mismo y otros módulos. Este componente se guarda como% windows% <filename> .exe, donde el nombre de archivo está compuesto de 8 dígitos hexadecimales.
Algunos de los otros módulos de este componente descargas se utilizan para recolectar credenciales de otras aplicaciones conocidas o para recolectar direcciones de correo electrónico de Outlook archivos PST para su uso con spam dirigido.
Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. A continuación, instala y ejecuta el exe actualizado como un servicio de Windows.
Sin embargo, Sophos está protegiendo a los clientes de la amenaza y ha creado un artículo de Knowledge Base con un desglose completo de las variantes detectadas.
Esta noticia se encuentra en desarrollo, por lo que estamos constantemente verificando los detalles de esta con las fuentes de información